Самоучитель системного администратора. 5-е издание

Структура сети 
109 
Серверы DHCP 
DHCP (Dynamic Host Configuration Protocol) осуществляет автоматическую 
настройку узлов сети. С помощью DHCP компьютер, подключенный к сети, в кото-
рой есть DHCP-сервер, может получить IP-адрес, маску сети, IP-адрес шлюза, адре-
са серверов DNS и другие сетевые параметры. 
Особенно удобно использовать DHCP в средних и больших сетях. Вы только 
представьте, что у вас в сети есть, скажем, 20 компьютеров. Если им назначать
IP-адреса статически, то вам придется подойти к каждому компьютеру и пропи-
сать его IP-адрес, а заодно и IP-адрес сети, IP-адрес шлюза и адреса серверов 
DNS. Понятно, что эту процедуру надо будет выполнить разово — при настройке 
сети. Но если через некоторое время конфигурация сети изменится (например, вы 
поменяете провайдера), и потребуется изменить IP-адреса DNS-серверов, то вам 
придется все повторить заново — снова обойти все компьютеры и прописать для 
них новые DNS-серверы. 
Адресация APIPA 
Для облегчения построения небольших сетей предусмотрена возможность само-
стоятельного назначения адресов. Если в сети нет сервера DHCP, а протокол IP
установлен с параметрами автоматического получения значений, то Windows при-
своит сетевой плате адрес из диапазона от 169.254.0.1 по 169.254.255.254 (маска 
подсети 255.255.0.0), предварительно проверив, не используется ли уже такой адрес 
в системе. Этот механизм позволяет применять IP-протокол в небольших сетях при 
минимальных ручных настройках — компьютеры в локальной сети увидят друг 
друга. Естественно, что никаких дополнительных параметров настройки операци-
онная система в этом случае не получает. Например, она не будет знать, куда посы-
лать запросы, чтобы получить данные с серверов Интернета. А если будет отклю-
чен протокол NetBIOS поверх TCP/IP, то системы не смогут разрешить имена дру-
гих компьютеров сети и т. п. 
П
РИМЕЧАНИЕ
Использование адреса из указанного ранее диапазона (проверяется командами 
ipconfig
или 
winipcfg
) при наличии в сети сервера DHCP свидетельствует либо о неисправ-
ности последнего, либо о проблемах кабельного подключения компьютера. 
Назначение адресов
при совместном использовании подключения к Интернету 
Особая ситуация возникает при настройке совместного использования подключе-
ния к Интернету. В этом случае тот компьютер, на котором создается подключение, 
начинает выполнять роль сервера DHCP с единственным ограничением — его
адрес 
жестко фиксирован
: 192.168.0.1. Клиенты, которые получают от этого сер-
вера адреса из подсети 192.168.0.0/24, автоматически настраиваются на использо-
вание его в качестве шлюза по умолчанию и сервера имен. 
Поскольку вариант совместного использования подключения присутствует как на 
серверных системах, так и на рабочих станциях, то такое решение является для не-

110 
Глава 3 
больших предприятий оптимальным. Настройте подключение к Интернету, вклю-
чите его совместное использование — и вы получите у себя в сети корректное
назначение параметров TCP/IP-протокола для компьютерных систем. 
П
РИМЕЧАНИЕ
Из-за того, что в этой технологии используется один и тот же диапазон адресов, орга-
низовать канал соединения двух таких локальных сетей невозможно. 
Порт 
При передаче данных пакет информации, кроме IP-адресов отправителя и получа-
теля, содержит в себе номера портов. 
Порт
— это некое число, которое использу-
ется при приеме и передаче данных для идентификации процесса (программы),
который должен обработать данные. Так, если пакет послан на 80-й порт, то это 
свидетельствует, что информация предназначена серверу HTTP. 
Номера портов с 1-го по 1023-й закреплены за конкретными программами (так на-
зываемые 
well-known-порты
). Порты с номерами 1024–65
535 могут быть исполь-
зованы в программах собственной разработки. При этом возможные конфликты 
должны разрешаться самими программами путем выбора свободного порта. Иными 
словами, порты будут распределяться динамически, — возможно, что при следую-
щем старте программа выберет иное значение порта. 
Знание того, какие порты используют те или иные прикладные программы, важно 
при настройке брандмауэров. Часть настроек в таких программах для наиболее
популярных протоколов предопределена, и вам достаточно только разрешить/за-
претить протоколы, руководствуясь их названиями. Однако в некоторых случаях 
придется обращаться к технической документации, чтобы определить, какие порты 
необходимо открыть, чтобы обеспечить прохождение пакетов той или иной про-
граммы. 
П
РИМЕЧАНИЕ
При настройке брандмауэра следует учитывать, что многие программы при подключе-
нии к Интернету открывают не один порт, а используют некоторый диапазон их значе-
ний. Один из возможных вариантов настройки брандмауэров для недокументирован-
ных программ — это анализ их реального трафика с помощью какой-либо программы 
для перехвата передаваемых по сети пакетов. 
Увидеть, какие порты реально задействованы на компьютере, можно с помощью 
команды 
netstat
. В зависимости от версии операционной системы эта команда 
имеет различные наборы ключей, позволяющих детализировать отчет (например, 
указать программы или процессы, использующие конкретные порты). В общем 
случае достаточно запустить команду 
netstat
с ключом 
-а
: 
netstat -a 
Активные подключения 
Имя Локальный адрес Внешний адрес Состояние 
TCP 0.0.0.0:135 acer:0 LISTENING 
TCP 0.0.0.0:445 acer:0 LISTENING 
TCP 0.0.0.0:554 acer:0 LISTENING 

Структура сети 
111 
TCP 0.0.0.0:902 acer:0 LISTENING 
TCP 0.0.0.0:912 acer:0 LISTENING 
TCP 0.0.0.0:2869 acer:0 LISTENING 
TCP 0.0.0.0:5357 acer:0 LISTENING 
TCP 0.0.0.0:10243 acer:0 LISTENING 
TCP 0.0.0.0:49152 acer:0 LISTENING 
TCP 0.0.0.0:49153 acer:0 LISTENING 
TCP 0.0.0.0:49154 acer:0 LISTENING 
TCP 0.0.0.0:49156 acer:0 LISTENING 
TCP 0.0.0.0:49157 acer:0 LISTENING 
... 
В этом примере на компьютере готовы к подключению несколько портов (состоя-
ние 
LISTENING
). 
П
РИМЕЧАНИЕ
Для получения информации по удаленному компьютеру используются специальные 
программы 
сканирования портов
. Наиболее известный бесплатный продукт — nmap. 
Если нужно сертифицированное решение, можно порекомендовать программу 
XSpider. Данные по отдельному порту можно получить штатными средствами системы 
(например, с помощью команды 
telnet
или утилиты PortQry из состава Support Tools). 
Обратите внимание, что хотя использование подобных программ не запрещено стан-
дартами, тем не менее многие системы оценивают сканирование портов как попытку 
вторжения и блокируют источник на некоторый период времени. 
Протокол ARP 
В сети Ethernet пакеты адресуются не по именам и не по IP-адресам компьюте-
ров — пакет предназначается устройству с конкретным MAC-адресом. 
MAC-адрес
— это уникальный адрес сетевого устройства, который заложен в него 
изготовителем оборудования. Первая половина MAC-адреса представляет собой 
идентификатор изготовителя, вторая — уникальный номер устройства. 
Для получения MAC-адреса устройства служит протокол ARP (Address Resolution 
Protocol, протокол разрешения адресов). В системе имеется специальная утилита — 
arp, которая позволяет отобразить кэш известных компьютеру MAC-адресов. 
Утилита arp может быть использована, например, при создании резервированных 
адресов DHCP-сервера. Для такой настройки администратору необходимо ввести 
MAC-адрес соответствующей системы. Чтобы его узнать, достаточно выполнить 
команду 
ping
на имя этой системы, после чего просмотреть кэш ARP (командой
arp -a
) и скопировать значение MAC-адреса в настройки DHCP. 
MAC-адреса часто используются для идентификации систем при создании фильт-
ров. Однако такой способ не отличается надежностью, поскольку изменить MAC-
адрес программно, как правило, не составляет труда. Например, вот как просто 
можно изменить MAC-адрес в Linux: 
# ifconfig eth1 down 
# ifconfig eth1 hw ether a1:b2:c3:d4:e5:f6 
# ifconfig eth1 up 

112 

Download 19,93 Mb.

Do'stlaringiz bilan baham: